Internationale Datenübertragungen von Cision – FAQs

 

Wir haben diese FAQs erstellt, um unseren Kunden und Influencern bei Fragen zu helfen, die sich aus dem Urteil des Europäischen Gerichtshofs in der Rechtssache Schrems II vom Juli 2020 ergeben. Das Urteil des Gerichtshofs bezog sich auf die Verwendung von Datenschutz (Privacy Shield) und EU-Standardvertragsklauseln ("SCC") als Rechtsgrundlage für die Übermittlung personenbezogener Daten in Länder außerhalb des EWR und insbesondere in die USA. Die Bedenken des Gerichts bezogen sich auf die Möglichkeit für US-Geheimdienste, Zugang zu den in die USA übermittelten personenbezogenen Daten zu erhalten, wobei das Gericht die Auffassung vertrat, dass es in den USA keinen angemessenen Rechtsschutz für EU-Bürger gibt, die über eine solche Verwendung ihrer personenbezogenen Daten besorgt sind.

Vor dem Hintergrund dieser Entscheidung hat Cision seinen Standpunkt zur Einhaltung der Vorschriften geprüft, und in diesem Vermerk wird der gegenwärtige Standpunkt zusammengefasst.

Dies ist eine Zwischennotiz, in der der derzeitige Ansatz von Cision dargelegt wird. Dieser Ansatz wird laufend überprüft und dabei insbesondere im Hinblick auf weitere regulatorische Leitlinien des Europäischen Datenschutzrates (EDPB) und der jeweiligen nationalen Datenschutzbehörden sowie im Hinblick auf die bevorstehende Veröffentlichung überarbeiteter Fassungen der SCCs, die für September/Oktober 2020 erwartet wird, überprüft.

Cision verpflichtet sich, mit seinen Kunden und Lieferanten zusammenzuarbeiten, um einen angemessenen Schutz der persönlichen Daten, die das Unternehmen verarbeitet, zu gewährleisten.

 

1. Übertragen Sie personenbezogene Daten außerhalb des EWR und insbesondere in die USA?

Ja, wir übertragen personenbezogene Daten außerhalb des EWR, einschließlich der USA.

 

2. Was ist Ihre rechtliche Grundlage für solche Transfers?

Wir stützen uns auf EU-Standardvertragsklauseln ("SCCs") als Rechtsgrundlage für die Übermittlung von Daten in Länder außerhalb des EWR

Wir haben uns weder bei Übertragungen zwischen Cision-Unternehmen noch bei Übertragungen an Cision durch unsere Kunden auf die Nutzung von Privacy Shield verlassen. Wir führen eine Prüfung unserer Zulieferer/Lieferanten durch, um festzustellen, ob sich solche Zulieferer/Lieferanten auf Privacy Shield verlassen haben, wenn sie als Auftragsdatenverarbeiter in unserem Namen tätig sind.

 

3. Welche Daten übertragen Sie und an wen?

Die von uns übermittelten Daten sind in den entsprechenden Datenschutzrichtlinien unter https://gdpr.cision.de/ aufgeführt. Im Großen und Ganzen übertragen wir drei verschiedene Sätze persönlicher Daten:

  • Cision-Influencer-Daten: von Cision erhobene und in unseren verschiedenen Influencer-Datenbanken (einschließlich der Cision-Mediendatenbank und der TKIM) enthaltene persönliche Daten von Influencern. Bei der überwiegenden Mehrheit dieser Daten handelt es sich um öffentlich zugängliche Daten, die aus Social-Media-Profilen, Websites, veröffentlichten Artikeln und anderen öffentlich zugänglichen Informationen über die Einflussnehmer gewonnen werden. Einige weitere Informationen können von den Influencern selbst oder von ihren Arbeitgebern zur Verfügung gestellt werden.
  • Kundenbezogene Influencer-Daten: beeinflussen persönliche Daten, die unsere Kunden uns über die Private List zur Verfügung stellen. Diese Informationen ähneln in ihrer Art den Cision Influencer Daten. Sie können zusätzliche Anmerkungen enthalten, die uns unsere Kunden zur Verfügung stellen.
  • Kundendaten: persönliche Daten, die in den von Cision zur Verwaltung unserer Kundenkonten benötigten Kontoführungsinformationen enthalten sind. Dabei handelt es sich in erster Linie um geschäftliche Kontaktdaten und die Stellenbezeichnung.

Wir teilen die Daten von Cision und die Kunden Influencer-Daten mit unseren Konzerngesellschaften in den Vereinigten Staaten, Kanada, Indien, Brasilien, China und anderswo. Wir teilen sie auch mit unseren Kunden, wo auch immer sie sich befinden, einschließlich Kunden außerhalb des EWR.

Wir können Kundendaten mit unseren Konzerngesellschaften in den USA für die Verwaltung von Kundenkonten für unsere internationalen Kunden austauschen.

Wir können Drittlieferanten/-verkäufern (z.B. E-Mail-Dienstleister) mit Sitz in den USA beauftragen, Daten in unserem Auftrag zu verarbeiten. Einzelheiten zu diesen Anbietern sind in unseren Datenschutzhinweisen aufgeführt.

 

4. Unterliegt Ihr Unternehmen den US-amerikanischen Kontrollgesetzen (d.h. gemäß Abschnitt 702 FISA und EO 12333?

  • Cision ist kein "Telekommunikationsunternehmen" im Sinne der einschlägigen Gesetzgebung.
  • Cision ist ein Anbieter von "elektronischen Kommunikationsdiensten" infolge der E-Mail-Dienste, die wir unseren Kunden anbieten. Folglich kann Cision im Grunde dem Kontrollregime nach Abschnitt 702 FISA und EO 12333 unterliegen. In der Praxis ist Cision nicht bekannt, dass eine solche Überwachung in Bezug auf seine Systeme und Datenbanken durchgeführt wird. 

 

5. Arbeiten Sie freiwillig mit Aufsichtsbehörden zusammen, die Zugang zu persönlichen Daten im Besitz von Cision wünschen?

Cision arbeitet nicht freiwillig mit den Aufsichtsbehörden zusammen, wird aber seinen gesetzlichen Verpflichtungen nachkommen.

 

6. Was ist, wenn Sie zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten, die außerhalb des EWR übermittelt werden, angemessen geschützt werden?

Wir sind dabei, alle Datenflüsse innerhalb der Unternehmen der Cision-Gruppe sowie zu unseren Lieferanten und Kunden außerhalb des EWR sorgfältig zu prüfen. 

Unsere wichtigsten internationalen Datentransfers erfolgen von unseren EU-Einheiten an unseren Hauptsitz und andere Einrichtungen in den USA. Aus diesem Grund und angesichts der Tatsache, dass die vom Europäischen Gerichtshof behandelten Fragen im Zusammenhang mit der Übermittlung in die USA stehen, haben wir uns bisher darauf konzentriert.

Nach dieser Beurteilung ist Cision zu dem Schluss gekommen, dass die derzeit geltenden Schutzvorkehrungen ein angemessenes Schutzniveau für die fraglichen Daten bieten. Angesichts der Art der fraglichen Daten, der Empfänger dieser Daten und der Art der Geschäftstätigkeit von Cision glauben wir nicht, dass die Übermittlungen von Cision- und kundenbezogen Influencer-Daten in Länder außerhalb des EWR irgendein oder irgendein wesentliches zusätzliches Risiko schaffen, das über die Risiken hinausgeht, die bereits dadurch bestehen, dass diese Daten vor ihrer Erhebung, Verarbeitung und Weiterleitung durch Cision von den betroffenen Personen (Einflussnehmern) selbst öffentlich zugänglich gemacht werden. Die beiden entscheidenden Faktoren, die zu dieser Schlussfolgerung führen, sind folgende: (a) es sich bei der überwiegenden Mehrheit der übertragenen Daten um öffentlich zugängliche Daten handelt (die z.B. auf Social-Media-Plattformen verfügbar sind, auf denen die Daten von den betroffenen Personen selbst veröffentlicht wurden); und (b) die Art der übertragenen Daten ein geringes Risiko darstellt und das Risiko, dass die US-Kontrollmechanismen auf Cision angewandt werden, unseres Erachtens gering ist. In Bezug auf Kundendaten glauben wir, dass solche Daten ein sehr geringes Risiko darstellen. 

Cision hat seine Datenschutzhinweise aktualisiert, um Influencer auf die Schrems-Entscheidung und ihre Auswirkungen aufmerksam zu machen und sie an ihre Möglichkeit zu erinnern, eine Änderung/Löschung ihrer Profile zu beantragen.

 

7. Sollten Cision-Kunden über persönliche Daten besorgt sein, die wir möglicherweise in unsere privaten Listen aufgenommen haben und die Cision in unserem Auftrag verarbeitet?

Kunden sollten selbst beurteilen, ob persönliche Daten, die sie Cision zur Verfügung stellen, möglicherweise besonders sensibel sind, und, falls ja, überlegen, ob solche Daten zurückgehalten oder z.B. von privaten Listen entfernt werden sollen. 

 

8. Welche Schritte können Influencer unternehmen, um ihre persönlichen Daten zu schützen, wenn sie befürchten, dass sie außerhalb des EWR übermittelt werden?

Influencer sollten eine Aktualisierung der Cision's Influencer Privacy Notice beachten, die folgendes besagt:

"Vielleicht ist Ihnen ein kürzlich (Juli 2020) ergangenes Urteil des Europäischen Gerichtshofs bekannt, das allgemein als "Schrems II" bezeichnet wird und sich auf Datenübertragungen in die USA und andere Länder außerhalb der EU auswirkt.  Der Fall entstand aus der Sorge heraus, dass die Strafverfolgungsbehörden der USA möglicherweise auf Daten zugreifen können, die in die USA übermittelt wurden, und dass Datensubjekte wie Sie nicht über angemessene Mittel verfügen würden, um einem solchen Zugriff oder einer solchen Verwendung Ihrer Daten zu widersprechen, wenn Sie darüber besorgt wären. Die Entscheidung betraf zwei übliche Mittel zur Gewährleistung des Schutzes Ihrer Daten, die als (a) "Privacy Shield" und (b) "Standardvertragsklauseln" (oder "SCCs") bekannt sind. Der Europäische Gerichtshof entschied, dass Privacy Shield nicht mehr gültig ist, bestätigte aber, dass die SCCs gültig sind, obwohl Datenexporteure (wie Cision), die SCCs verwenden, zusätzliche Schritte unternehmen sollten, um sicherzustellen, dass angemessene Sicherheitsvorkehrungen vorhanden sind. Cision verlässt sich bei seinen internationalen Datentransfers nicht auf Privacy Shield.  Was die Verwendung von SCCs anbelangt, so hat Cision die von ihm durchgeführten Übertragungen sorgfältig geprüft und ist zu dem Schluss gekommen, dass angemessene Sicherheitsvorkehrungen bestehen, insbesondere angesichts der Tatsache, dass die überwiegende Mehrheit der von Cision verarbeiteten Influencer-Daten öffentlich zugänglich ist und angesichts der Art der von Cision erbrachten Dienstleistungen. Sollten Sie jedoch Bedenken haben, dass Ihre persönlichen Daten von Strafverfolgungsbehörden in den USA (oder in einem anderen Land) eingesehen werden könnten, dann teilen Sie uns dies bitte mit, indem Sie uns unter privacy@cision.com kontaktieren, und wir können entweder Ihr Profil ändern, um alle Daten, die Anlass zur Besorgnis geben, zu entfernen, oder Sie aus unserer Datenbank entfernen."

Influencer mit Sitz im EWR möchten möglicherweise ihre Profile überprüfen, um zu sehen, ob in ihrem Profil Informationen enthalten sind, die sie nicht außerhalb des EWR transferiert haben möchten. Influencer können Cision unter privacy@cision.com kontaktieren, um eine Kopie ihres Profils zu erhalten.

Cision wird die Profile auf Anfrage ändern und jeden Influencer vollständig aus den Cision-Datenbanken entfernen, wenn er nicht mehr aufgenommen werden möchte.

 

9. Verfügen Sie über geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, die außerhalb des EWR übermittelt werden?

Unsere technischen und organisatorischen Maßnahmen sind in unserer Sicherheitspolitik unter Prozesse TOM dargelegt.

Wenn wir Auftragsverarbeiter beauftragen, in unserem Namen zu handeln, stellen wir sicher, dass sie über angemessene Sicherheitsmaßnahmen verfügen.

 

10. Nehmen Sie im Zuge der Entscheidung des Gerichtshofs Änderungen an den SCC vor?

Wir beabsichtigen, bestimmte Änderungen an den SCCs vorzunehmen, um den Empfehlungen einer der deutschen Datenschutzbehörden zu folgen. Wir werden die SCCs laufend überprüfen und unseren Ansatz im Hinblick auf weitere regulatorische Leitlinien und die bevorstehende Veröffentlichung überarbeiteter Fassungen der SCCs, die für September/Oktober 2020 erwartet werden, prüfen.

 

11. Wie werden Sie mit Transfers in andere Länder als die USA umgehen?

Cision ist derzeit nicht in der Lage, die Überwachungs- und Strafverfolgungsbehörden aller Territorien, in die sie persönliche Daten übermitteln darf, abschließend zu analysieren. Cision ist jedoch der Ansicht, dass, selbst wenn diese Behörden einen ähnlichen Zugang wie die Strafverfolgungsbehörden der USA ermöglichen würden und selbst wenn die Rechtsmittel, die den betroffenen Personen zur Verfügung gestellt werden, dieselben Mängel aufweisen würden wie die, die der Gerichtshof in den USA festgestellt hat, der öffentliche Charakter der Daten und das ihnen innewohnende mangelnde Interesse der Strafverfolgungsbehörden bedeutet, dass die mit der Übermittlung in diese Länder verbundenen Risiken gering sind. Infolgedessen erwartet Cision, dass seine Schlussfolgerungen hinsichtlich der Frage, ob zusätzliche Schutzmaßnahmen erforderlich sind, wahrscheinlich gleich oder ähnlich ausfallen werden. Wir werden alle weiteren Hinweise des EDPB und der nationalen Datenschutzbehörden sowie alle Empfehlungen für bewährte Praktiken sorgfältig beobachten. Dies wird ein fortlaufender Prozess sein.

 

Diese Seite wurde zuletzt geändert am 19.10.2020